Schlagwort-Archive: In eigener Sache

In eigener Sache

Warum „TAUSBOO“?

Schreibe einen Kommentar

Der Name TAUSBOO geht auf eine Begebenheit zurück, die sich so vor etwa 20 Jahren zugetragen hat:

Eine Bekannte (Sachbearbeiterin bei einer Versicherung) hatte vor ihrem Urlaub ihr Kennwort für die Anmeldung am System geändert, damit sie nicht bei ihrer Rückkehr wegen eines zu lange nicht geänderten kennwortes ausgesperrt werden würde. Das neue Kennwort  sollte HAUSBOOT sein und wurde – wie so häufig – bei der Eingabe nur durch Sternchen dargestellt. Noch einmal zur Bestätgiung den gelichen Wert eingeben, fertig.

Nach dem Urlaub wollte sie sich mit ihrem frisch geändert Kennwort anmelden – ging aber nicht!

Der übliche Anruf bei der IT:

Sachbearbeiter: „Mein Passwort funktioniert nicht“

IT: „Nochmal versuchen“

Sachbearbeiter:“Geht immer noch nicht“

IT: „Dann haben Sie das falsche Kennwort“

Sachbearbeiter:“Kann nicht sein“

IT: „Doch, muss so sein“

Sachbearbeiter:“Nein, ich bin mir 100% sicher, es ist HAUSBOOT“

IT: „Na gut, ich sehe nach“

IT:“Ihr Kennwort ist TAUSBOO, Sie geben aber immer HAUSBOO ein“

Was war passiert?

Offensichtlich wurde das Kennwort intern nur mit 7 Zeichen gespeichert.  Bei der Passwortänderungsmaske wurde das so implementiert, dass darüberhinaus eingegebene Zeichen wieder vorn eingesetzt wurde. Bei der Anmeldemaske aber wurde alles nach dem siebten Zeichen ignoriert.

Heute würde man vermutlich keine so kurzen Passwörter mehr zulassen und wahrscheinlich auch darüberhinaus Anforderungen an die Passwortqualität stellen; der Rest könnte so bestimmt immer noch passieren.

Fehler 1: Die Behandlung zu langer Eingaben erfolgt an den beiden Stellen unterschiedlich. So ein Fehler kann schon mal passieren, wenn verschiedene Personen daran arbeiten. Dass das aber überhaupt passieren kann, ist ein Fehler der Architektur – normalerweise muss so etwas doch gekapselt sein und wiederverwendet werden.

Fehler 2: Dass das hinterlegte Kennwort im Klartext von der IT eingesehen werden kann, geht nicht.

Fehler 3: Dass das bei der Anmeldung eingegebene Kennwort im Klartext von der IT eingesehen werden kann, geht auch nicht.

Insofern ist der Begriff TAUSBOO für mich mit den diversen Herausforderungen bei Softwareentwicklung und IT-Sicherheit, Anwendersupport und IT-Betrieb verbunden – und damit doch ganz passend für diesen Blog.